Kwetsbaarheden in Microsoft Developer Tools Verholpen

Recent heeft Microsoft updates uitgebracht om verschillende beveiligingslekken in hun ontwikkelaarssoftware, waaronder Visual Studio en .NET, te verhelpen. Deze kwetsbaarheden waren significant genoeg om mogelijk een Denial-of-Service te veroorzaken, rechten te verhogen, of zelfs willekeurige code uit te voeren onder de rechten van de ontwikkelaar. Dit is bijzonder problematisch aangezien ontwikkelaars vaak met verhoogde rechten werken.

Kwetsbaarheden en Impact

Enkele van de aanvalsmogelijkheden door deze kwetsbaarheden zijn:

• Uncontrolled Search Path Element: Dit kan leiden tot het uitvoeren van onveilige code wanneer een aanvaller een malafide bestand op het systeem plaatst dat eerder wordt geïmplementeerd dan het legitieme bestand.
• Improper Access Control: Dit kan resulteren in ongeautoriseerde toegang tot gevoelige delen van het systeem.
• Allocation of Resources Without Limits or Throttling: Dit kan het systeem overbelasten en een Denial-of-Service veroorzaken.

Betrokken Producten en Versies

De updates zijn van toepassing op verschillende versies van zowel Visual Studio als ASP.NET Core, om specifiek te zijn:

• Microsoft ASP.NET Core 8.0 en 9.0
• Microsoft Visual Studio 2022 met versies 17.10, 17.12, 17.13 en 17.8
• Microsoft SQL Server Management Studio 20.2
• Microsoft VSTA 2019 en 2022 SDK
• Microsoft Visual Studio Tools for Applications 2019 en 2022

Beschikbare Oplossingen

Microsoft heeft de relevante updates gepubliceerd en raadt aan deze zo snel mogelijk te installeren. Deze updates zorgen voor de beveiliging van de systemen tegen de hierboven genoemde kwetsbaarheden. Voor uitgebreide informatie over de installatie en mogelijke workarounds wordt verwezen naar de officiële Microsoft Security Guidance Portal.

Belangrijke CVE’s en Details

De volgende Common Vulnerabilities and Exposures (CVE)-items zijn geïdentificeerd in samenhang met deze kwetsbaarheden:

• CVE-2025-26682
• CVE-2025-29802
• CVE-2025-29803
• CVE-2025-29804

Deze CVE’s dekken verschillende aspecten van de kwetsbaarheden, inclusief details en technische beschrijvingen van de zwakke punten.

Conclusie

Het is van cruciaal belang voor elke organisatie die gebruik maakt van Microsoft Developer Tools om direct te updaten naar de laatste versies en om een beveiligingsbeleid te handhaven dat proactief kwetsbaarheden in hun systemen adresseert. Regelmatige updates en patches zijn essentieel voor de bescherming tegen steeds veranderende bedreigingen.

Hoewel deze samenvatting zorgvuldig is samengesteld, kunnen de details in meer uitgebreide vorm gevonden worden via officiële bronnen en documenten. Het Nationaal Cyber Security Centrum (NCSC) biedt geen garantie voor volledigheid of actualiteit van de verstrekte informatie. Deze advisory moet gezien worden als informatief, zonder enige juridische gevolgen. De informatie is voorafgaand aan eventuele juridische conflicten getoetst onder Nederlandse wetgeving. Geschillen worden voorgelegd aan de bevoegde rechtbank in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----